Wer mit Office365 beruflich zu tun hat und eine Migration von einer OnPremise-Umgebung durchführt oder eine hybride Umgebung einrichtet stellt sich vielleicht irgendwann diese Frage: Wie sieht es eigentlich mit einem ADV-Vertrag aus? Gerade in den aktuellen goldenen Zeiten für das Home-Office übersieht man solche, im Ernstfall bedeutsamen Kleinigkeiten, leicht.
ADV-Vertrag?
Wer sich noch an die DSGVO erinnert, der kennt vielleicht den bei einer beauftragten Datenverarbeitung nötigen ADV-Vertrag. Dieser ist auch im Fall von Office365 bzw. der Nutzung von Outlook und Exchange Online eigentlich nötig. Denn man „beauftragt“ in diesem Fall Microsoft mit der Verwaltung der E-Mails. Dass E-Mails sehr kritische und vor allen Dingen persönliche Informationen enthalten braucht man wohl nicht diskutieren.
Damit man im Schadensfall nicht selber der Dumme ist und man bei einer solchen Datenpanne den schwarzen Peter weiterschieben kann, benötigt man unbedingt einen ADV-Vertrag mit jedem Daten-verarbeitenden Anbieter. Eine solche Panne könnte z. B. sein, dass Microsoft die Daten aus irgendeinem Grund unverschlüsselt der Allgemeinheit zur Verfügung stellt. Ohne ADV-Vertrag ist die Datenverabeitung, wie auch bei Google Analytics, dann theoretisch illegal.
Wie sieht es bei Office365 aus?
Im Fall von Microsoft bzw. Office365 herrscht da wohl etwas Uneinigkeit. Es lässt sich zumindest nicht, wie beispielsweise bei Google Analytics, einfach im Office365-Dashboard ein Punkt finden, unter welchem man dem ADV-Vertrag zustimmen kann. Im Fall von Google Analytics hat man in diesem Fall aber auch nichts „personalisiertes“, wie beispielsweise bei All-Inkl. Dort bekommt man einen Standardvertrag in dem der Kunde namentlich benannt wird.
Eine Unterschrift und das Einsenden eines Vertragsdokumentes sind zum Glück laut der DSGVO gar nicht nötig. Hier hat im Gegensatz zum BDSG sogar eine „Abmilderung“ stattgefunden. Die Verträge dürfen laut DSGVO online geschlossen werden. Es wird nur nicht als solche Vereinfachung wahrgenommen, weil sich für das BDSG wohl nur eine Handvoll Leute interessiert haben 😀
Im Fall von Office365 konnte ich aber nirgendwo einen solchen Punkt finden um irgendetwas zu akzeptieren 🙁
Letzt endlich kam ich nur über einen Forumsbeitrag zu einer hitzigen Diskussion um eben jenen ADV-Vertrag. Statt eines sauberen ADV-Vertrags wid man zu einem Dokument mit den „Bestimmungen für die Onlinedienste“ von Microsoft verwiesen. Dort findet man eine Unterschrift des Microsoft Vize-Präsidenten unter den Standardvertragsklauseln und einen Anhang namens „Anlage 4 – Bestimmungen der Datenschutz-Grundverordnung der Europäischen Union“.
Der entsprechende Link (für eine aktuellere Version muss man allerdings wohl noch einmal auf die Suche gehen):
https://www.microsoftvolumelicensing.com/Downloader.aspx?DocumentId=13871
Etwas anderes scheint es nicht zu geben.
Fazit
Das Dokument soll, zumindest auch laut anderen Quellen, ausreichend sein. Einfach gemacht wird einem das ganze aber nicht. Microsoft könnte auch einfach mit dem korrekten Titel, wie ADV-Vertrag, hantieren. Aber das wäre vielleicht zu einfach, wenn direkt jeder wüsste, dass er das richtige Dokument gefunden hat?!
Es bleibt einem also nur die Option dieses Dokument, vermutlich in regelmäßigen Abständen, zu sichern. So hat man es im Bedarfsfall für den Prüfer oder den Datenschutzbeauftragten vorliegen.